Caching delle credenziali di dominio

Le credenziali di dominio vengono utilizzate dai componenti del sistema operativo e sono autenticate dalla Local Security Authority (LSA).

Per impostazione predefinita Windows memorizza le ultime 10 credenziali di dominio nella cache locale, in questo modo se durante i tentativi di accesso successivi non fosse disponibile un controller di dominio sarà comunque possibile effettuare l’accesso al computer locale. Questa feature è utile soprattutto per gli utenti di laptop che possono lavorare sconnessi dal dominio aziendale.

E’ possibile controllare il numero di credenziali memorizzate tramite la policy:

Criteri locali/Opzioni di protezione/Accesso interattivo: numero di accessi precedenti da memorizzare nella cache (nel caso in cui il controller di dominio non sia disponibile)

Oppure tramite la registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\cachedlogonscount

Se questa impostazione ha valore 0, la memorizzazione delle informazioni di accesso nella cache verrà disattivata. Se viene specificato un valore maggiore di 50, verranno memorizzati nella cache solo gli ultimi 50 tentativi di accesso.

Le credenziali sono memorizzati nella chiave di registry: HKEY_LOCAL_MACHINE\SECURITY\Cache che non è accessibile agli utenti (compreso l’utente Administrator), ma e solo all’utente SYSTEM.

E’ possibile visualizare il contenuto di questa chiave di registry aprendo il regedit con i privilegi dell’utente SYSTEM avviando il Regedit tramite il comando at che avvia i processi schedulati nel contesto di sicurezza dell’utente SYSTEM.

Per avviare il Regedit tramite il comando at è posibile usare il comando:
at \\127.0.0.1 Hours:Minutes /interactive regedt32.exe

 image
Per la precisione in Windows 2000 non vengono memorizzate in cache le credenziali (username e password), ma un codice hash.

Dal momento che vi sono tool di recupero delle credenziali quali Cain, John the Ripper password cracker, CacheDump o fgdump che basano il loro funzionamento sul caching delle credeanziali potrebbe essere necessario diabilitare questa feature.

Per maggiori informazioni si vedano:

[Update 01]

Per l’avvio di processi come SYSTEM in Windows Vista/ Windows Server 2008 e successivi si veda Getting a CMD prompt as SYSTEM in Windows Vista and Windows Server 2008.